本文主要知識點： Windows 2003安全配置、NTFS系統(tǒng)、加密文件系統(tǒng)（EFS）、 系統(tǒng)服務等。

前言：

2003年5月22日，微軟的新一代操作系統(tǒng)Windows Server 2003中文版開始在國內(nèi)發(fā)行。從Windows95一路用到現(xiàn)在，筆者覺得微軟在安全方面做的還算是說的過去的，雖然說漏洞很多。2003總體感覺上安全做的還不錯，交互式登錄、網(wǎng)絡身份驗證、基于對象的訪問控制、比較完整的安全策略、數(shù)據(jù)加密保護……筆者這里要談的是如何通過安全的配置，使Windows Server 2003安全性大大加強。

一、安裝過程中的安全問題

1．NTFS系統(tǒng)。

老生長談的話題了。NTFS系統(tǒng)為一種高級的文件系統(tǒng)，提供了性能、安全、可靠性以及未在任何FAT格式版本中提供的高級功能，通過它可以實現(xiàn)任意文件及文件夾的加密和權(quán)限設置（這是最直觀的安全設置了），磁盤配額和壓縮等高級功能。通過它，你還可以更好的利用磁盤空間，提高系統(tǒng)運行速度……自WindowsNT系統(tǒng)以來，使用NTFS系統(tǒng)已經(jīng)逐漸成了一種共識。為了體驗NTFS系統(tǒng)帶來的這些免費的優(yōu)惠，筆者特意把硬盤所有分區(qū)都轉(zhuǎn)成了NTFS系統(tǒng)。如果你在安裝時不選用NTFS系統(tǒng)，那么后面的很多安全配置如用戶權(quán)限設置等你將都不能實現(xiàn)。

2．安裝過程中有關安全的提示。

在安裝過程中需要輸入Administrator密碼，新的Windows Server 2003提供了一個比較成熟的密碼規(guī)則，當你輸入的密碼不符合規(guī)則時，就會以圖片形式出現(xiàn)如下提示（由于安裝未完成，不能抓圖，請諒解。內(nèi)容已經(jīng)抄下來了）：

您已經(jīng)指定的管理員帳戶的密碼不符合密碼的條件，建議使用的密碼應符合下列條件之中的前二個及至少三個：

- 至少6個字符 - 不包含'Administrator'或'Admin' - 包含大寫字母（A、B、C等等） - 包含小寫字母（a、b、c等等） - 包含數(shù)字（0、1、2等等） - 包含非字母數(shù)字字符（#、&、~等等） 您確定要繼續(xù)使用當前密碼嗎？

之所以說是“比較成熟”的密碼規(guī)則，因為就算你的密碼設置不符合此規(guī)則也能照樣順利進行下一步安裝，這就為以后的系統(tǒng)安全埋下了隱患。但總的來說，有了這一規(guī)則就已經(jīng)很不錯了，以前的版本沒有，就出現(xiàn)了N多空密碼的很快淪為肉雞的機器。相信有了這一提示后，可以在很大程度上減小這種現(xiàn)象。

3．在完全配置完成后不要把機器接到網(wǎng)絡中（包括局域網(wǎng)），因為這時候你滿的漏洞的機器隨時等候別人的“照顧”，只要有人連接上來，就是Admin權(quán)限。這一點相信了解安全的朋友都知道。

在整個安裝過程中需要注意的基本就這么多了。另外，不知道大家有沒有注意到，按默認安裝后，系統(tǒng)根目錄下多出來一個0字節(jié)的wmpub文件夾，里面又有一個0字節(jié)的wmiislog文件夾。后來發(fā)現(xiàn)有一個不明程序在使用這個wmiislog文件夾，但到底是什么程序，有什么用途用還不清楚，不知道是否和安全有關，能否被利用。請知道的朋友告知一聲。

二、初級安全配置

1．關閉默認的磁盤共享，修改組或用戶對磁盤的控制權(quán)限。

安裝完成后，默認是共享了所有硬盤分區(qū)的，還包括提供遠程IPC和遠程管理的兩個共享：IPC$和ADMIN$，這就為以后的系統(tǒng)安全埋下了隱患，圖1。解決這個問題有很多辦法，這里介紹一種簡單可行的解決方案。從“計算機管理”里打開“服務”（或者在運行里鍵入Services.msc回車），在里面找到Server服務，雙擊打開其屬性，并設置為“禁用”即可，圖2。Server服務是系統(tǒng)默認的和共享有關的服務，支持計算機通過網(wǎng)絡的文件、打印和命名管道共享，禁用此服務后，一切基于此服務的其他服務也同時被禁止，包括Computer Browser和Distributed File Sysetm兩個服務。前一個服務是Windows Server 2003的新服務，利用它可以把分散的共享合并成一個邏輯名稱空間并在網(wǎng)絡上管理這些邏輯卷，這能大大方便用戶使用和管理那些分散的共享。后一個服務用來維護網(wǎng)絡上計算機的更新列表，并將列表提供給計算機指定瀏覽，如果停止此服務，則列表就不會被更新或維護。當禁用Server服務后，這兩個服務就不能使用。

圖 1 圖 2

另外，默認Everyone組用戶對所有共享擁有完全的控制權(quán)，這也是非常危險的，任何人只要訪問共享，就可以完全控制此共享，這當然是不符合安全要求的，圖3。解決的辦法也很簡單，修改共享的安全屬性，刪除Everyone組或修改其訪問權(quán)限即可。首先在共享上點右鍵打開其屬性，在“安全”標簽里可以看到此時可以訪問此共享的組或用戶情況，圖3，下面的框顯示的是被選中組或用戶所擁有的權(quán)限。這里可以看到Everyone組擁有完全控制權(quán)。現(xiàn)在我們可以根據(jù)自己的實際情況來配置里面的組或用戶擁有的權(quán)限。如果繼續(xù)允許Everyone組用戶訪問，則必須從新設置其訪問權(quán)限，只需要把“允許”里的權(quán)限后面的方框里的鉤去掉即可。如果要刪除Everyone組，則單擊“刪除”即可。如果需要新添加用戶或組，使其也可以訪問此共享，單擊“高級”按鈕進入高級安全設置，如圖4。再單擊“添加”進入用戶選擇，單擊“高級”，選擇“立即查找”就可以找到此計算機上所有的用戶和組，圖5。這里以Users組為例介紹。首先找到并選中Users組，單擊“確定”進入權(quán)限設置，圖6，這里就可以為Users組用戶選擇共享的權(quán)限，完了確定即可。這時候，Users組用戶也可以訪問此共享，并且擁有為其設置好的權(quán)限。

圖 3 圖 4 圖 5 圖 6 2．修改組或用戶的訪問權(quán)限，達到需要的安全要求。

由于在安裝時使用了NTFS系統(tǒng)，我們可以對任何文件及文件夾進行權(quán)限設置，使得各組和用戶對某一文件或文件夾的控制權(quán)不同。通過這樣的配置就能達到一定的安全要求。這里以Tools文件夾為例介紹如何具體配置其安全屬性。首先點右鍵打開其屬性，選擇“安全”標簽，可以看到目前可訪問此文件夾的所有用戶，圖7。作為系統(tǒng)管理員，當然是擁有完全控制的權(quán)限了，但其他用戶或組就不一定要為其分配這么高的權(quán)限，這不符合安全配置的原則，所以就得修改。仍以Users組為例介紹。單擊“添加”選擇用戶和組，圖8，單擊“高級”，再單擊“立即查找”即可找到當前計算機的所有用戶和組，圖5。選擇Users組后確定。可以看到此時能訪問該文件夾的用戶個組除了原來的Administrator還多了一個Users組用戶，圖9。這里默認權(quán)限為讀取和運行、列出文件夾目錄和讀取。根據(jù)不同的安全要求可以為新加的Users組用戶配置其權(quán)限。當然你也可以直接按“刪除”把你想要刪除的用戶或組從列表中刪除，這樣他就不在有訪問此文件夾的權(quán)限。

圖 7 圖 8 圖 9

需要注意的幾點：

* 此權(quán)限設置是基于NTFS系統(tǒng)的，F(xiàn)AT格式的磁盤不能進行權(quán)限設置。 * 對某一文件的安全配置和對文件夾的安全配置完全一樣，從文件的屬性里配置就行了。 * 如果完全刪除了某一文件或文件夾的所有用戶或組，會出現(xiàn)圖10的提示，如果確定，此文件或文件夾就不可訪問，無論你的身份有多高，圖11。只有以Admin身份登錄，從新配置其安全屬性，為其添加新的用戶或組。

圖 10 圖 11

可以看出，通過對文件或文件夾的安全配置，即可達到對任意文件或文件夾的訪問權(quán)限控制，從而滿足不同的安全需求。

3．利用加密文件系統(tǒng)（EFS），加密文件或文件夾。

Windows Server 2003支持利用EFS技術對任意文件或文件夾進行加密，這是一種核心的文件加密技術，基于NTFS系統(tǒng)，只有NTFS系統(tǒng)的磁盤才能使用此技術。加密后的文件或文件夾就不可被除此用戶以外的任何用戶訪問，而無論你的身份有多高。這樣就能更好的保護自己的敏感數(shù)據(jù)和重要文件。下面以Tools文件夾加密為例介紹。首先右鍵打開其屬性，在“常規(guī)”標簽里“選擇“高級”選項進入高級屬性，圖12，將“加密內(nèi)容以便保護數(shù)據(jù)”框選中并確認，圖13。確定后會出現(xiàn)圖14所示的選項。如果選擇上面一項，則只加密此文件夾，其他用戶雖然不能直接訪問此文件夾，但可以通過其他途徑如直接鍵入完整路徑來訪問里面的內(nèi)容；如果選擇下面一項，則此文件夾內(nèi)所有的文件和文件夾都將被加密。

圖 12 圖 13 圖 14

使用加密文件系統(tǒng)需要注意以下幾點：

* 只有在NTFS系統(tǒng)上才支持數(shù)據(jù)加密，如果被加密的數(shù)據(jù)被移動到FAT格式的磁盤上，則會自動解密。 * 將非加密的數(shù)據(jù)移動到已加密的文件夾中，則會被自動加密，而且此過程是不可逆的，即把已加密的文件夾中數(shù)據(jù)移動到此文件夾外，數(shù)據(jù)不會自動解密。 * 無法加密系統(tǒng)文件、已被壓縮過的數(shù)據(jù)和Systemroot文件夾（即安裝目錄的Windows文件夾）。 * 加密數(shù)據(jù)不能防止被刪除或列出目錄，具有訪問權(quán)限的組或用戶即可刪除或列出已加密數(shù)據(jù)的目錄。所以應結(jié)合組或用戶權(quán)限設置，進一步保護好數(shù)據(jù)安全。

4．通過“軟件限制策略”限制任意程序的使用。

在計算機的日常使用中，我們總是需要限制某些用戶執(zhí)行所有或部分程序，通過設置合理的規(guī)則可以鎖定系統(tǒng)所有或部分程序的運行。另一方面，隨著網(wǎng)絡、Internet以及電子郵件在日常生活中的使用日益增多，越來越多的病毒和木馬會故意進行偽裝來欺騙我們運行它們。而要做出安全的選擇來確定某個程序是否安全是非常困難的。“軟件限制策略”控制未知或不信任的軟件的運行需求，從而從一定程度上達到預防病毒和木馬的功效，為營造一個安全的環(huán)境提供了條件。接下來，筆者就介紹一下如何設置“軟件限制策略”。從“管理工具”里打開“本地安全設置”，在左側(cè)的窗口里，可以看見“軟件限制策略”，打開后里面包含兩個選項：“安全級別”和“其他規(guī)則”，圖15。

圖 15

在“安全級別”里，如果選擇了“不允許的”作為默認項，會出現(xiàn)一個提示框，圖16，確定后，系統(tǒng)會按新的規(guī)則將所有的可執(zhí)行程序設置為禁用，當試圖打開程序時會提示錯誤，圖17。這就達到了鎖定所有程序的目的。解鎖的辦法當然就是還原“不受限的”為默認項了。

圖 16 圖 17

在“其他規(guī)則”里，可以定義四種規(guī)則來滿足不同的需求：證書規(guī)則、哈希規(guī)則、Internet區(qū)域規(guī)則、路徑規(guī)則。這里以“路徑規(guī)則”來介紹，其他的用法和作用都基本一樣。首先在“其他規(guī)則”上點右鍵，選擇“新建路徑規(guī)則”，圖18。點“瀏覽”選好具體的文件夾，在安全級別里選擇“不允許的”，然后確定。這樣就達到了對所選的文件夾內(nèi)所有程序鎖定的目的。此時如果繼續(xù)運行此文件夾內(nèi)的任何程序都回提示錯誤，圖19。同樣在這里可以選擇某個具體的程序來鎖定。

圖 18 圖 19

介紹了基本的使用方法，但這并不能滿足所有的安全需求。有的時候，我們需要只能運行個別程序，硬盤上其他所有的程序都不能運行。如何達到這個目的呢？首先在“安全級別”里把“不允許的”設置為默認，再到“其他規(guī)則”里設置想運行的程序路徑，并設置安全級別為“不受限的”。這樣，除了新規(guī)則規(guī)定的程序以外，其他一切程序都不能運行。那么如何利用此規(guī)則做好病毒和木馬的防御工作呢？我們可以在“其他規(guī)則”里設置新規(guī)則，路徑指向郵件附件保存的路徑，然后把安全級別設置為“不允許的”即可。

另外，“軟件限制策略”和權(quán)限沒有關系，如果限制了某個程序不能執(zhí)行，無論你以何身份身份來運行都會提示不能運行。經(jīng)過處理后的程序?qū)h程登錄的用戶一樣適用。雖然設置適當?shù)陌踩?guī)則可以從一定程度上防御病毒和木馬的襲擊，但切不可把“軟件限制策略”當成防病毒軟件來使用，這只是緩兵之計。